Monitoraggio silenzioso dell'host

Supportato in:

Questo documento spiega i metodi con cui il monitoraggio host silenzioso (SHM) di Google Security Operations ti consente di identificare gli host nel tuo ambiente che sono diventati silenziosi.

Un host silenzioso può segnalare potenziali interruzioni della raccolta.

Utilizzare una regola di rilevamento per SHM

Ti consigliamo di configurare una regola di rilevamento per SHM.

Questo metodo monitora i campi UDM (ad esempio hostname, ip o mac) e attiva un avviso quando i valori previsti non vengono ricevuti entro un periodo di tempo specificato.

Regole di rilevamento di esempio per SHM

Questa sezione contiene regole di rilevamento di esempio per SHM, che puoi utilizzare o adattare alle tue esigenze specifiche. Ad esempio, puoi modificare il periodo di tempo, utilizzare altri campi (come ip) o suddividere la regola in altri modi.

Rilevare host silenziosi per nome host

L'esempio seguente rileva gli host silenziosi tramite hostname:

  • Esegue la scansione di finestre di 20 minuti.
  • Monitora gli host utilizzando ip, hostname e mac.
  • Avvisi se non sono stati ricevuti eventi per un host negli ultimi 10 minuti, ma non silenziosi negli ultimi 20 minuti.
rule shm_using_hostname {
 meta:

 events:
   $event.metadata.event_timestamp.seconds > timestamp.current_seconds() - 1200
   // $identifier_hash = hash.sha256(strings.concat($event.principal.ip[0], $event.principal.hostname, $event.principal.mac[0]))
   $silent_hostname = $event.principal.hostname
 match:
   $silent_hostname over 10m
 outcome:
   $max_event_time = max($event.metadata.event_timestamp.seconds)
   $max_diff = timestamp.current_seconds() - $max_event_time
 condition:
   $event and $max_diff > 600
}

Rilevare i raccoglitori silenziosi utilizzando le etichette di importazione

Di seguito è riportata una regola di rilevamento di esempio per SHM:

  • Esegue la scansione di finestre di 20 minuti.
  • Identifica il silenzio utilizzando l'etichetta di importazione ingestion_source.
  • Identifica i valori di un fuso orario specificato (in questo esempio, Asia/Calcutta) che sono stati silenziosi negli ultimi 10 minuti, ma non silenziosi negli ultimi 20 minuti.
rule shm_using_ingestion_label {
 meta:

 events:
   $event.metadata.event_timestamp.seconds > timestamp.current_seconds() - 1200
   $event.metadata.ingestion_labels.key = "ingestion_source"
   $silent_ingestion_source = $event.metadata.ingestion_labels.value
 match:
   $silent_ingestion_source over 20m
 outcome:
   $max_time_seconds = max($event.metadata.event_timestamp.seconds)
   $max_diff_seconds = timestamp.current_seconds() - $max_time_seconds
   $max_timestamp = timestamp.get_timestamp($max_time_seconds, "SECOND", "Asia/Calcutta")
   $current_timestamp = timestamp.get_timestamp(timestamp.current_seconds(), "SECOND", "Asia/Calcutta")
 condition:
   $event and $max_diff_seconds > 600
}

Utilizza Google Cloud Monitoring con le etichette di importazione per SHM

Questo metodo utilizza Google Cloud Monitoring per monitorare i tassi di importazione dei log in base alle etichette di importazione per SHM.

Questa sezione descrive come configurare questo metodo utilizzando Bindplane, che include i seguenti passaggi:

  1. Configura Bindplane per SHM con Google Cloud Monitoring
  2. Configurare la soglia di Google Cloud Monitoring per SHM

Dopo aver configurato una pipeline di log che applica le etichette di importazione per SHM, puoi configurare gli avvisi di Google Cloud Monitoring per raccoglitore, per quando la velocità di importazione scende al di sotto di una soglia specificata. Puoi configurare gli avvisi in modo che vengano inviati a varie posizioni al di fuori di Google SecOps e integrarli in un flusso di lavoro.

Vantaggi di questo metodo:

  • Monitora il tempo di importazione, non il tempo dell'evento.
  • Sfrutta le funzionalità avanzate di avviso di Cloud Monitoring.

Svantaggi di questo metodo:

Configurare Bindplane per SHM con Google Cloud Monitoring

Di seguito sono riportati i prerequisiti per configurare Bindplane per SHM con Google Cloud Monitoring:

  • Un server Bindplane di cui è stato eseguito il deployment e configurato con un processore distandardizzazione di Google SecOps.
  • Il processore di standardizzazione di Google SecOps è configurato per aggiungere un log_type supportato e un'etichetta di importazione (ad esempio, ingestion_source).

Per configurare Bindplane per SHM con Google Cloud Monitoring, completa i seguenti passaggi:

  1. Invia il nome host del server di raccolta come attributo in ogni voce di log.
  2. Nella scheda Log, seleziona Processori > Aggiungi processori > Copia campo.
  3. Configura il processore Copia campo:
    • Inserisci una breve descrizione della risorsa.
    • Scegli il Logs tipo di telemetria.
    • Imposta il campo Copy From su Resources.
    • Imposta il campo Resource field su host.name.
    • Imposta il campo Copy To field su Attributes.
    • Imposta il campo Attributes Field, ad esempio, su chronicle_ingestion_label["ingestion_source"].

Configurare la soglia di Google Cloud Monitoring per SHM

Definisci una soglia in base alla velocità di importazione prevista. Le soglie più basse rilevano interruzioni del raccoglitore, mentre quelle più alte rilevano lacune nei log upstream.

Dopo aver configurato la soglia di Google Cloud Monitoring per SHM, ti consigliamo di monitorare la metrica Conteggio totale log di importazione di Chronicle Collector > Importazione. Per istruzioni dettagliate sulla configurazione di esempio, vedi Configurare un criterio di esempio per rilevare gli agenti di raccolta silenziosi di Google SecOps.

Utilizzare una dashboard Google SecOps per SHM

Utilizza una dashboard Google SecOps per visualizzare i conteggi giornalieri per gli host di monitoraggio che non sono più attivi.

Questo metodo è ideale per le panoramiche giornaliere di alto livello, ma non supporta gli avvisi e i risultati hanno una latenza fino a 6 ore.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.